Cara Optimasi Security Website


https://i1.wp.com/www.cms-security.org/wp-content/uploads/2013/05/secure-joomla-lock.jpg

Banyak dari kita yang mempunyai website yang terbuat dari CMS seperti WordPress, Joomla, Drupal, Mambo, Prestahop, Opercart atau CMS yang lain. Perlu diingat bahwa website itu terbentuk dari :

  • Script/CMS
  • Plugin
  • Modul
  • Themes

Cara optimasi security website kamu, yang pertama adalah hal mutlak dilakukan. Yaitu lakukan update ke versi terbaru. Beberapa hal yang perlu diupdate diantaranya:

PLUGIN

Plugin/MODULE ini di develop/di kembangkan bukan oleh satu orang saja, plugin-plugin yang pakai di kembangkan oleh berbagai individu yang memiliki karakter dan security concern yang berbeda. Plugin yang tidak di update akan menyebabkan website kamu mudah terkena hack dan juga bisa di inject untuk melakukan spamming email ribuan jumlahnya.

Pertanyaan tambahan mengenai plugin adalah: sudah pakai plugin versi terbaru mengapa masih kena pada plugin ini?

Jawaban: tidak semua pembuat plugin concern terhadap security yang telah di buat, ada yg sangat responsive selalu update version plugin buatan mereka, ada juga yang tidak pernah update plugin sama sekali. Plugin yang tidak digunakan sangat di rekomendasikan untuk di hapus, krn hanya akan menambah celah keamanan website.

THEMES

Berhati-hatilah terhadap themes ini, jangan pernah sekali-kali mendownload themes dari internet yang bukan merupakan official website dari si pembuat themes. Misal themes nulled/bajakan, biasanya disisipkan script shell yang digunakan untuk inject ke website kamu, tanpa diketahui sebelumnya. Ngga mau begitu kan? makanya jangan pakai yang bajakan. Pakai sedikit uang kamu untuk beli theme yang legal dan tidak berbahaya.🙂

Atau jika kamu tidak punya banyak uang, atau tidak mau ribet lebih baik menggunakan themes gratisan yang memang free daripada menggunakan themes premium namun hasil nulled yg terlalu beresiko. Sangat berbahaya.

Berikut Security Advisory yang bisa kamu lakukan untuk semua CMS:

  • Chmod Index.php ke 400
  • Chmod File2 yang memiliki karakter pusat setting misal configuration ke 400

Khusus WordPress:

  • index.php CHMOD ke 400
  • wp-config.php CHMOD ke 400
  • .htaccess CHMOD ke 404

Lakukan chmod apda folder di bawah ini :

  • Wp-admin CHMOD ke 705
  • Wp-content CHMOD ke 705
  • Wp-includes CHMOD ke 705
  • Wp-content/uploads CHMOD ke 705 , bila bermasalah dalam hal upload bisa di 755 sementara dan kembalikan ke 705 bila sudah selesai.
  • Bagi Themes yang menggunakan File Timthumb / thumb.php, sangat di sarankan melakukan install plugin Timthumb Vulneral Security Scan
  • Gunakan Plugin Security yang memiliki konsep Htaccess Defense misal: BulletProof Security.

Terakhir, jangan pernah berasumsi seperti ini:

Web saya tidak pernah saya utak-atik dan tidak pernah saya edit, saya sudah 1 tahun tidak pernah edit website mengapa kena hack?

Hal itu terjadi karena di dalam sebuah website terdiri komponen di atas yang memiliki hole dari cms core, plugin, modul, themes dsb. Tidak selamanya plugin/themes/modul webiste kamu secure, setelah sekian lama akan terdapat security hole.

Maka dari itu, jangan lupa tetap backup website kamu ke komputer lokal dengan cara masuk ke cpanel, disana terdapat fitur backup, setelah di backup akan terbentuk file tar.gz di folder /home, silahkan  donwload ke komputer secara berkala.

Bila sering online, gunakanlah antivirus yang sudah memiliki reputasi international, dan pastikan anti virus memiliki fitur internet security untuk mencegah adanya attacking ketika online.

Hindari menggunakan wifi tanpa password, bila terpaksa, pastikan wifi dibuat bersifat internal tidak semua bisa akses, karena di wifi pun, account kamu bisa di hack melalui cookies browser dengan cara eyedrops, firesheep. Pastikan halaman login tempat bermitra menggunakan ssl dengan tanda https ketika akses halaman penting login. Bila memiliki account VPN dengan secure encrypt sangat di sarankan.

Scan komputer secara berkala dari virus & malware/spyware. Hal yang paling berbahaya bukanlah virus, namun spyware/malware, karena malware ini bersifat mencuri data melalui keylogger dsb.

Sumber: atriumhosting.com

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s